Хорошая функция для выхода из $ _POST // что вы думаете об этом

Question

Хорошая функция для выхода из $ _POST // что вы думаете об этом

0

Я использую $_POST и знаю о mysql exploit, я решил использовать эту функцию в верхней части моей страницы, поэтому все POST будут в безопасности: Можете ли вы сказать мне, если я что-то пропущу, и эта функция действительно будет работать, как я думаю?

function clean_post(){
    if ( $_POST){
            foreach ($_POST as $k => $v) {
            $_POST[$k]=stripslashes($v);
            $_POST[$k]=mysql_real_escape_string($v);
            $_POST[$k]=preg_replace('/<.*>/', "", "$v");
        }
  }

  if ( $_COOKIE){
            foreach ($_COOKIE as $k => $v) {
            $_COOKIE[$k]=stripslashes($v);
            $_COOKIE[$k]=mysql_real_escape_string($v);
            $_COOKIE[$k]=preg_replace('/<.*>/', "", "$v");
        }
  }
}

Он также удалит все теги html, самый безопасный вариант для вывода результата может быть использован:

<pre>
  $foo 
</pre>

Ура!

Arnaud 20 янв. 2011, в 00:33

Источник

0

Какая польза от этого? Зачем кому-то нужно что-то подобное? Я знаю, что нет. Для mysql я использую PDO с подготовленными утверждениями, поэтому мне не нужно избегать чего-либо из поста. Для других вещей я использую встроенный в php фильтр filter_var () с различными опциями.
Dmitri 19 янв. 2011, в 23:25
0

Приятно видеть, что вы думаете о безопасности, здорово, так держать! но ... mysql_real_escape_string требует активного подключения к базе данных. поэтому ваша функция выдаст ошибку, если вы используете ее перед подключением к mysql. это также может вызвать проблемы, если у вас есть несколько подключений к разным базам данных, которые используют разные параметры сортировки. перед тем, как убрать лишнюю косую черту, вы всегда должны проверить, что php добавил косую get_magic_quotes_gpc() используя get_magic_quotes_gpc() . Что делать, если вы случайно вызвали функцию дважды?
DeveloperChris 20 янв. 2011, в 00:20
0

Поздравляем, вы нашли способ превратить ваш вклад в мусор! : О)
deceze♦ 20 янв. 2011, в 06:28

Показать ещё 1 комментарий

Теги:

php

mysql

7 ответов

Ещё вопросы

Какая польза от этого? Зачем кому-то нужно что-то подобное? Я знаю, что нет. Для mysql я использую PDO с подготовленными утверждениями, поэтому мне не нужно избегать чего-либо из поста. Для других вещей я использую встроенный в php фильтр filter_var () с различными опциями.
Приятно видеть, что вы думаете о безопасности, здорово, так держать! но ... mysql_real_escape_string требует активного подключения к базе данных. поэтому ваша функция выдаст ошибку, если вы используете ее перед подключением к mysql. это также может вызвать проблемы, если у вас есть несколько подключений к разным базам данных, которые используют разные параметры сортировки. перед тем, как убрать лишнюю косую черту, вы всегда должны проверить, что php добавил косую get_magic_quotes_gpc() используя get_magic_quotes_gpc() . Что делать, если вы случайно вызвали функцию дважды?
Поздравляем, вы нашли способ превратить ваш вклад в мусор! : О)

Mark Byers · Answer 1 · 2011-01-19T20-44-00.000Z

Я думаю, что это плохая идея. Это повредит данные, введенные вами пользователями, даже до того, как они попадут в базу данных. Этот подход также поможет вам использовать ленивое кодирование, где вы последовательно не избегаете данных, потому что считаете, что все ваши данные уже "чисты". Это вернется, чтобы укусить вас когда-нибудь, когда вам нужно вывести некоторые небезопасные символы, и вы либо забудете их избежать, либо не уверены, какую функцию вам нужно вызывать, чтобы просто попробовать что-то и надеяться, что это сработает.

Чтобы сделать это правильно, вы должны убедиться, что магические кавычки отключены и при необходимости избегают данных, используя точно правильный метод экранирования - не более, не менее.

Я не могу понять эту часть: вы ничего не избежите . Он убегает от персонажей? Вы можете это объяснить? Thnaks.
@Eray Alakese: Моя точка зрения заключается в том, что он, скорее всего, будет использовать эту функцию очистки вместо правильного экранирования данных. Я думаю, что это опасная привычка.
Я знал, что это хорошая идея, чтобы опубликовать этот код, упустив много смысла !!!! Спасибо

regilero · Answer 2 · 2011-01-19T21-09-00.000Z

Есть некоторые проблемы с этим.

Сначала вы применяете функции к типам, которые им не нужны, для целых чисел, например, требуется только (int), чтобы быть безопасным.

Во-вторых, вы не гарантируете длину, когда вы запрашиваете строку "12 символов", было бы неплохо обеспечить, чтобы у вас было всего 12 символов, а не 2048. Ограничение размера - это действительно то, что ваши нападающие не будут как.

Третий в вашем цикле foreach у вас есть переменная $v, вы назначаете 3 раза функцию на $v до $_POST [$ k]. Таким образом, первые два задания теряются, когда происходит 3-го...

Тогда все, что говорили предыдущие люди, правы: -)

Правило применяет фильтр в нужный момент для правильного вывода. Для вывода HTML нужен html-фильтр (htmlspecialchars), но база данных ему не нужна, ему нужна база данных. Предположим, вы хотите извлечь данные из своей базы данных для создания CSV или PDF файлов, а экранирование HTML сделает вашу жизнь более сложной. В это время вам понадобится экранирование CSV или выпадение PDF файла.

Наконец, очень сложно запомнить, если вы манипулируете данными, которые уже хорошо экранированы для вашего вывода. И я рекомендую вам отличное чтение на Joel on Software о Apps Hungarian. Текст довольно длинный, но очень хороший, и последовательность веб-экранирования используется в качестве примера того, почему Apps Hungarian является хорошим (даже если System Hungarain - это плохо).

Вы 3 раза назначаете функцию на $ v для $ _POST [$ k]. Как я мог пропустить это!
Так что теперь вы довольно подвержены инъекциям SQl :-)
Спасибо, что поделились всем этим!

shivgre · Answer 3 · 2012-05-11T04-00-00.000Z

Привет, это мой первый ответ на любой вопрос, заданный в Интернете, поэтому ознакомьтесь с ним.

Поместите этот код в верхнюю часть вашего script и не нужно присваивать эти опубликованные значения любым переменным для выполнения той же самой задачи, что и входные данные для базы данных. Просто используйте значения $_POST, как и в ваших запросах.

foreach ($_POST as $k => $v) {                  
      if(!is_array($_POST[$k]) ) {       //checks for a checkbox array & so if present do not escape it to protect data from being corrupted.
          if (ini_get('magic_quotes_gpc')) {      
                $v = stripslashes($v); 
            }               

            $v = preg_replace('/<.*>/', "", "$v");           //replaces html chars
            $_POST[$k]= mysql_real_escape_string(trim($v));

        }
 }

Oliver Charlesworth · Answer 4 · 2011-01-19T21-39-00.000Z

Я не знаю, правильна ли ваша функция или нет, но принцип, безусловно, неверен. Вы хотите убежать только там, где вам нужно, то есть перед тем, как передавать вещи в MySQL (на самом деле вы даже не хотите этого делать, в идеале, используйте связанные параметры).

Существует множество ситуаций, когда вы можете захотеть, чтобы необработанные данные передавались по HTTP-запросу. С вашим подходом нет возможности сделать это.

Используйте связанные параметры: Никогда не слышал об этом, вы можете объяснить немного больше?
@Arnaud: см., Например, devzone.zend.com/article/686 .

mfonda · Answer 5 · 2011-01-19T21-23-00.000Z

В общем, я не думаю, что это хорошая идея.

Не все почтовые данные обязательно попадают в MySQL, поэтому нет необходимости скрывать их, если это не так. Тем не менее, использование чего-то вроде PDO и подготовленных операторов является лучшим способом, функции mysql_* устарели.
Регулярное выражение может уничтожить много потенциально допустимого текста. Вы должны беспокоиться о вещах, таких как HTML, при выводе, а не вводе. Кроме того, для этой функции используйте функцию типа strip_tags или htmlspecilchars.
stripslashes требуется только в том случае, если включены магические кавычки (чего они не должны быть, но всегда возможны)

Matt Lowden · Answer 6 · 2011-01-19T20-46-00.000Z

При работе с stripslashes я бы использовал get_magic_quotes_gpc():

if (get_magic_quotes_gpc()) {
    $_POST[$k]=stripslashes($v);
}

В противном случае вы будете перекрывать.

Eray · Answer 7 · 2011-01-19T20-20-00.000Z

0

Не забывайте $_GET []

if ($_POST OR $_GET)

Также вы можете добавить strip_tags()

Eray 19 янв. 2011, в 20:20

1

На самом деле, просто используйте $ _REQUEST (и $ _POST, и $ _GET) и называйте это день
buley 19 янв. 2011, в 22:55
1

@editor, использующий запрос, неоднозначен и определенно не очень хорошая идея. Кроме того, изменение запроса не изменит то, что находится в get или post, это не по ссылке.
profitphp 19 янв. 2011, в 23:27
0

Хорошие моменты, хотя при чтении переменных от клиента это может показаться приемлемым. Можете ли вы объяснить, что вы подразумеваете под неоднозначным? Вы имеете в виду, когда читаете код или что-то еще? Это экономит мне много кода, когда я хочу поддерживать как GET, так и POST для метода API.
buley 26 янв. 2011, в 00:07

Показать ещё 1 комментарий